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Description 

[0001] La presente invention conceme le domaine 
des machines a sous, telles que les dispositifs de jack- 
pot et les autres dispositifs de jeux d'argent individuels 
du type de ceux que Ton trouve dans les casinos. 
[0002] Elle conceme plus particulierement des ma- 
chines a sous permettant d'enregistrer des mises et des 
gains avec des cartes de jeu. Les cartes de jeu sont du 
type carte a puce ou carte sans contact. Les cartes de 
jeu peuvent etre dediees a cette utilisation suivant 
Pexemple des cartes telephoniques. Elles sont avanta- 
geusement constitutes par des cartes bancaires, per- 
mettant de transferer des sommes d'argent directement 
sur la machine a sous. 

[0003] La presente demande vise un precede et un 
systeme de controle de transfer! d'unites de valeur entre 
une pluralite de cartes de jeu et une pluralite de machi- 
nes dejeu, chaque machine etant connectee a untrans- 
cripteur de donnees sur cartes de jeu apte a crediter et/ 
ou a debiter des unites de valeur en memoire d'une carte 
dejeu. 

[0004] Un objectif general du controle de transfert 
d'unites de valeurs entre cartes de jeu et machines de 
jeu est rfeviter toute malversation f inanciere a Paide de 
telle cartes. 

[0005] On connait deja des systemes de gestion pour 
des machines dejeu equipees de lecteurs de cartes a 
puce, adaptes a la gestion d'un pare de machines de 
jeux disposees dans des sites relativement fermes et 
controles comme les casinos. Ces systemes sont adap- 
tes a un tel environnement, car ils font I'objet de contro- 
les et de regimentations importants, peu susceptibles 
de permettre des fraudes sur les transactions de jeux 
utilisant des cartes a puce. 

[0006] Le document EP-A-0 360 61 3 decrit par exem- 
ple un systeme de transfert de donnees entre carte a 
puce et une pluralite de machines avec des moyens de 
transmission et de stockage des donnees machine dans 
la carte a puce. Un tel systeme permet d'effectuer un 
releve des operations de jeu avec une carte de collecte 
stockant une liste des operations de jeux effectuees 
dans un but comptable ou fiscal. 
[0007] Un inconvenient d'un tel systeme est qu'on ne 
peut pas contrdler toutes les operations de jeu effec- 
tuees, sauf a relever toutes les machines avec la carte 
de collecte, ce qui occasionne des manipulations fasti- 
dieuses. 

[0008] D'autre part, devant la demande croissante du 
public, il est envisage d'installer des machines de jeu 
dans des sites moins proteges que les casinos comme 
des salles de jeux privees ou des bars, voire meme dans 
des lieux d'habitation prives comme le domicile des 
joueurs. 

[0009] II apparait clairement qu'une telle dispersion 
des machines de jeu pose d'importants problemes de 
securite des transactions suite aux operations de jeu. 
[0010] Le document WO-A-93 1 7403 decrit un syste- 



me de machines a sous reliees en reseau avec un cen- 
tral de gestion, chaque machine etant connectee a lec- 
teur de cartes magnetiques ou de cartes a puce. Cha- 
que carte memorise un numero d' identification corres- 

5 pondant a un code secret et a un compte de credit gere 
par le central. Le systeme permet de transmettre sur le 
reseau le numero ^identification de la carte et le code 
secret du joueur au central de gestion qui transfere en 
retour les donnees de credit a la machine pour permet- 

10 tre les operations de jeu. 

[0011] Ce systeme a ('inconvenient de ne prevoir 
aucun moyen pourstocker des donnees financieres en 
memoire d'une carte, ni pour assurer la sOrete des 
echanges de donnees financieres dejeu sur le reseau, 

'5 ce qui limite pratiquement la diffusion de cartes et rex- 
tension du systeme a une maison de jeux. 
[0012] Un but de invention est de permettre un de- 
veloppement des machines de jeu fonctionnant avec 
des cartes a puce dans des lieux non proteges. 

20 [0013] Un autre but de invention est de renforcer Pin- 
tegrite des systemes de machines de jeux fonctionnant 
avec des cartes de jeu. 

[0014] L'invention prevoit que les machines de jeu 
sont reliees en reseau avec un organe central de ges- 

25 tion. Selon l'invention on a prevu que Porgane central 
de gestion comporte une base de donnees, dans laquel- 
le sont stockees des informations correspondantes a 
celles stockees sur les cartes de jeu comme des infor- 
mations sur le joueur atnsi que des donnees d'identrfi- 

30 cation des cartes et des donnees renseignant sur le sol- 
de de la valeur stockee dans la carte. Une verification 
des donnees de la carte par rapport aux donnees de la 
base de I'organe central de gestion permet d'assurer 
Hntegrite d'un tel systeme de machines dejeu fonction- 

35 nant avec des cartes a puce ou des cartes sans contact. 
[0015] L'invention prevoit ainsi un procede securise 
de contrCle de transferts d'unites de valeur entre une 
pluralite de cartes de jeu et une pluralite de machines 
dejeu, chaque machine etant connectee a un transcrip- 

40 teur de donnees sur carte de jeu, les machines etant 
reliees en reseau securise avec un organe central de 
gestion par Pintermediaire de moyens de liaison, le pro- 
cede comportant des etapes consistant, au cours d'une 
operation de jeu, a : 

45 

lire des donnees en memoire d'une carte de jeu, no- 
tamment un numero d'identification de la carte et 
des donnees representatives des unites de valeur 
debitees et/ou creditees au cours des operations de 

50 jeu precede ntes, 
. - echanger des donnees entre la machine et une ba- 
se de donnees de I'organe central de gestion par 
Pintermediaire des moyens de liaison du reseau se- 
curise, notamment des donnees representatives de 

55 solde des unites de valeur et/ou le numero d'iden- 
tification de la carte ; et, 

verifier que les donnees en memoire de la carte de 
jeu correspondent aux donnees de la base de don- 



2 



3 



EP 0 981 808 B1 



4 



nees afin de contrdler I'integrite d'un systeme cons- 
titue par une telle carte, une telle machine, le reseau 
et I'organe central de gestlon. 

[0016] L'invention prevoit avantageusement des 
moyens de securisation qui permettent d'authentifier les 
messages de donnees echangees sur le reseau, c'est- 
a-dire de signer de tels messages. 
[001 7J L'invention prevoit en outre un systeme secu* 
rise de contrdle de transferts d'unites de valeur entre 
une pluralite de cartes de jeu et une pluralite de machi- 
nes de jeu, chaque machine etant pourvue d'un trans- 
cripteur apte a debiter des unites de valeur d'une carte 
de jeu, les machines etant reliees en reseau securis6 
avec un organe central de gestion par I'interm&Jiaire de 
moyens de liaison, une carte de jeu stockant en memoi- 
re des donnees representatives d'operations de jeu ef- 
fectuees, notamment des donnees ^identification de la 
carte et des donnees representatives de solde des va- 
leurs debitees et/ou creditees au cours des operations 
de jeu precedentes, caracterise en ce que I'organe cen- 
tral de gestion comporte une base de donnees stockant 
parallelement en memoire les donnees representatives 
des operations de jeu effectuees, notamment les don- 
nees d'identification des cartes et les donnees repre- 
sentatives des so Ides des valeurs debitees et/ou credi- 
tees au cours des operations de jeu precedentes et en 
ce que des moyens de contr&le verifient que, pour une 
carte identifiee, les donnees de la base et les donnees 
de la carte correspondent, notamment que les donnees 
representatives du solde correspondent, afin de verifier 
I'integrite du systeme. 

[0018] Un module de securisation pour I'authentifica- 
tlon des messages de donnees peut avantageusement 
etre prevu dans le reseau, au niveau d'un transcripteur, 
d'une machine, de I'organe central, ou meme des 
moyens de liaison du reseau. 
[0019] L'invention sera mieux comprise a la lecture de 
la description et des dessins qui suivent, donnes uni- 
quement a trtre d'exemples non limitatifs ; sur les des- 
sins annexes : 

- la figure 1 represente un systeme securise de con- 
trole de transfert d'unites de valeurs entre une plu- 
ralite de cartes de jeu et une pluralite de machines 
de jeu apte a mettre en oeuvre l'invention ; 
la figure 2 represente un schema d'echange et de 
verification des donnees selon l'invention ; et, 
. - la figure 3 represente un calcul de certificat 
d'authentification par des moyens de securisation 
selon l'invention. 

[0020] Sur la figure 1 on a represente un systeme se- 
curise de machines de jeu tel que propose par l'inven- 
tion, et qui comprend une ou plusieurs machines de jeu 
200, 200', 200" et 200'". 

[0021] Une telle machine de jeu 200, semblable aux 
machines a sous que Ton trouve dans les casinos dis- 



pose cfun monnayeur electronique 210 que Pon appel- 
lera par la suite transcripteur de donnees sur carte de 
jeu CJ. 

[0022] Le transcripteur de donnees sur carte 21 0 est 
5 relie a Pelectronique de la machine 200, par exemple 
par une liaison serie de type RS 485. La machine et le 
lecteur comportent des interfaces entree-sortie adap- 
tees a cette liaison. 

[0023] De facon classique, la machine est equipee 

to d'un ecran d'affichage 211 qui permet aux joueurs de 
savoir a tout instant quel est le solde dont II dispose pour 
jouer et le montant des mises et des gains realises. 
[0024] La machine 200 qui a ete representee peut 
bien sQr etre une machine a monnayeur electronique 

*5 exclusivement, mais aussi une machine a double mon- 
nayeur, c'est-a-dire une machine qui comporte outre ce 
monnayeur electronique, un monnayeur a pieces (ou a 
jetons) symbolise par la reference 201 . 
[0025] Dans le cas d'une machine a double mon- 

20 nayeur, le joueur aura la possibility de jouer avec des 
pieces ou jetons et de se faire restituer ses gains uni- 
quement sous la forme de pieces. 
[0026] Les cartes de jeu CJ representees sous forme 
de cartes a puce comportent une memoire morte effa- 

25 gable electriquement, par exemple une memoire de ty- 
pe EEPROM. 

[0027] II peut s'agir egalement de cartes a puce com- 
portant un microprocesseur, une memoire de program- 
mes et une memoire de travail de type RAM. 

30 [0028] Ces cartes a puce peuvent egalement etre des 
cartes a chargement d'unites de type rechargeable. Ces 
cartes comportent pour cela une memoire electrique- 
ment programmable du genre boulier. 
[0029] En outre les cartes de jeu peuvent etre cons- 

35 tituees par des cartes sans contact, la carte comportant 
un circuit integre a memoire et microprocesseur, et un 
circuit electronique de transmission de donnees sans 
contact electrique. On peut par exemple utiliser un 
transpondeurtel que decrit dans la demande de brevet 

40 FR - 96 16061. 

[0030] La realisation des machines de jeu 200 et leur 
connexion a des transcripteurs de donnees sur cartes 
de jeu ne sera pas detaillee ici. Des exemples de reali- 
sations de machines de jeu sont detailles par exemple 

45 dans la demande de brevet FR - 96 10031 dont la des- 
cription est incorporee a la presente. 
[0031] Afin de controler les operations de jeux et les 
transactions avec les cartes, il est prevu de relier les 
machines 200, 200', 200", 200 m en reseau, avec un or- 

50 gane central de gestion represents sous la reference 
1 a la figure 1 . Les machines du reseau sont reliees a 
I'organe central de gestion 1 par des moyens de liaison 
123. Comme representees a la figure 1, les machines 
200, 200', 200", 200' " peuvent egalement etre reliees 

55 entre elles par le reseau. 

[0032] Les moyens de liaison 123 sont constitues 
dans le cas d'un reseau local comme celui d'un casino 
par une liaison locale. La liaison locale est par exemple 
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une liaison serie de type RS 485, un bus de liaison 
parallele , une fibre optique, une liaison radio ou tout 
autre support de transmission. 
[0033] Dans le cas d'un reseau joignant des salles de 
jeu disperses, les moyens de liaisons peuvent etre 
constrtues par des canaux de transmission propres au 
reseau ou par des fignes telephoniques. 
[0034] Pour etablir des liaisons telephoniques, le re- 
seau comporte des modulateurs-demodulateurs de ty- 
pe MODEM 120, 120', 120" et 120 m , disposes en inter- 
face entre les moyens de liaison 1 23 et une machine de 
jeux 200, 200', 200", 200"' respectivement. 
[0035] L'organe central de gestion 1 est constitue par 
exemple d'un ordinateur central relie Sgalement aux 
moyens de liaison 123 par un MODEM 101 de facon a 
faire partie du reseau. 

[0036] Sur la figure 1 on a represents des moyens de 
liaison 123 sous la forme schematique d'une ligne an- 
nulare a laquelle les machines de jeux 200, 200', 200" 
et 200"' sont connectees. Les machines sont ainsi re- 
liees entre elles et a l'organe central de gestion 1 . La 
liaison peut cependant prendre toutes sortes de formes 
Squivalentes. 

[0037] Dans le cas de liaisons telephoniques, les ma- 
chines sont reliees individuellement aux moyens cen- 
tralises de gestion, les machines n'etant pas necessai- 
rement reliees entre elles. Le MODEM 11 des moyens 
de gestion 1 peut comporter avantageusement un stan- 
dard de plusieurs lignes telephoniques. 
[0038] L'utilisation de liaisons telephoniques presen- 
te I'avantage de permettre d'Stendre le reseau au lieu 
d'habitation des joueurs. Les machines de jeux sont de 
preference constituees par des ordinateurs personnels 
300 et 300' de type PC. Les machines peuvent ainsi etre 
connectees chacune a un transcripteur de donnees sur 
carte de jeu 31 0 ou 31 0' integrant de preference un MO- 
DEM 130 ou 1 30*, par exemple du type "GEMTEL" com- 
mercialise par la demanderesse. 
[0039] Le reseau utilise peut etre notamment un re- 
seau de communication ouvert du type "INTERNET 1 . 
[0040] II est prevu en outre que le systeme et le re- 
seau comportent au moins un terminal de chargement 
represents a la figure 1 sous forme d'une caisse enre- 
gistreuse 1 00. Le terminal de chargement 1 00 comporte 
alors un transcripteur 110. Le terminal 100 et !e trans- 
cripteur 1 1 0 sont alors relies au reseau par Pintermediai- 
re d'un MODEM 111 connects aux moyens de liaison 
123. 

[0041] Classiquement, il est prevu que les cartes a 
puce dediees aux jeux sont des cartes non-rechargea- 
bles, a i'instar des cartes telephoniques, et elles sont 
fabriquees et chargees uniquement par un organisme 
central. 

[0042] Dans une application avec des cartes non-re- 
chargeables, il est prevu que la base de donnees BD 
des moyens centralists de gestion 1 dispose des sotdes 
S1 , S2, Sn initiaux des vaieurs crSditees sur les car- 
tes CJ1 , CJ2, CJn avant leur mise en circulation. 



[0043] Cependant, selon une variante avantageuse, 
i! est prevu que les cartes sont rechargees en unites de 
vaieurs par I'intermSdiaire de terminaux de chargement. 
[0044] En pratique, ce terminal peut etre celui d'un 
s caissier du casino. De facon alternative, on peut prevoir 
une multitude de terminaux de chargements disposes 
dans des debits de tabac ou dans d'autres commerces 
accessibles aux joueurs. 

[0045] Ainsi lorsqu'un joueur desire obtenir la deli- 

10 vrance d'un credit, il donne sa carte de jeu CJ1 a I'ope- 
rateur habilite a utiliser le terminal 100 qui insere cette 
carte dans la partie transcripteur 11 0 de ce terminal 1 00 
et qui au moyen du clavier de la caisse va rentrer le mon- 
tant du credit que desire avoir le joueur. Ce montant est 

« transfers au transcripteur 1 1 0 qui enregistre alors sur la 
carte a puce CJ1 reformation significative correspon- 
dant au crSdit dSsirS par le joueur. 
[0046] Selon I'invention, le terminal de rechargement 
peut alors communiquer a l'organe central de gestion 1 , 

20 par I'intermSdiaire des moyens de liaison du reseau 123, 
les donnees lues sur la carte a recharger, notamment 
son numSro ^identification Id et son solde S d'unites de 
valeur. La verification du numero ^identification Id de la 
carte de jeu CJ1 peut etre faite directement par le ter- 

25 minal de rechargement 1 00 ou par son transcripteur de 
donnees 1 1 0 ou de maniere alternative par l'organe cen- 
tral de gestion 1 . L'invention prevoit ainsi une etape prS- 
liminaire aux operations de jeu, consistant a inscrire 
dans la base de donnees de l'organe central de gestion 

30 1 et dans la memoire d'une carte de jeu CJ1 , des don- 
nees representatives d'une valeur de solde initial lors 
d'une operation preliminaire de chargement de la carte 
CJ1. 

[0047] Selon la premiere alternative, il est prevu com- 

35 me visible a la figure 2 que le terminal de rechargement 
ou son transcripteur T dispose des clefs d'identification 
secretes Kt1, Kt2, Ktn de toutes les cartes de jeu 
CJ1 , CJ2, CJn en circulation. Ces cles secretes sont 
de preference stockSes dans un module de securisation 

40 MS1 comportant une memoire et une unite de calcul, 
les donnees stockees n'etant pas accessibles de I'extS- 
rieur. Le terminal 1 00 verifie alors que I'identification Id1 
de la carte a puce CJ1 est correcte avec la clef Kt1 cor- 
respondante, en appliquant un algorithme d'authentifi- 

45 cation ou de cryptage selon les methodes connues. 
[0048] Selon la seconde alternative, cette authenti- 
cation de la carte est effectuee au niveau de l'organe 
central de gestion 1, les numeros d'identification 
Id1,ld2,...,ldn et les clefs d'authentification correspon- 

50 dantes Kt1 , Kt2, Ktn Stant stockees dans la base de 
donnees BD de l'organe central de gestion ou de prefe- 
rence dans un module de securite MSO similaire a MS1 . 
Cette seconde alternative prSsente I'avantage d'eviter 
toute dissemination des clefs d'authentification secre- 

55 tes. 

[0049] L'invention prevoit en outre un echange de 
donnees entre le terminal et l'organe central de gestion 
portant sur les donnees stockees dans la base de don- 
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nees de l'organe central de gestion 1. De pr6ference, 
cet echange de donnees est accompagne d'un certif Icat 
d'authentification. Un protocole de securisation permet- 
tant cfemettre de tets certif icats sera detailie chapres. 
Ce protocole evite avantageusement qu'une machine 5 
parasite du reseau ne credite abusivement la base de 
donnee. Le terminal T peut ainsi communiquer le solde 
S des valeurs debitees et/ou creditees precedemment 
sur la carte de jeu CJ1 a l'organe central de gestion 1 . 
Apres avoir authentifie le numero ^identification Idt de io 
la carte ou le certif icat accompagnant les donnees de * 
solde, on peut ainsi verifier que le solde S inscrit en me- 
moire de la carte de jeu CJ1 correspond bien au solde 
S1 stocke dans ia base de donnees BD. Si la verification 
est positive, il est prevu que Torgane central de gestion *5 
1 emet un signal d'accord pour le rechargement de la 
carte CJ1 par le terminal et le transcripteurT. En cas de 
verification negative, une procedure ou un signal d'aler- 
te peuvent etre mis en oeuvre au niveau de l'organe cen- 
tral de gestion 1, ou au niveau du terminal de charge- 20 
ment. Dans un reseau de machines a sous de casino 
par exemple, le caissier pourra etre alerte par le terminal 
de chargement afin de decouvrir I'origine d'un tel dys- 
fonctionnement. Dans un reseau plus etendu, on peut 
prevoir que la carte CJ1 soit avalee par le transcripteur 25 
T du terminal afin d'enqueter sur le dysfonctionnement. 
[0050] On peut prevoir en outre que la base de don- 
nees ou la memoire des cartes de jeu CJ comportent 
des informations sur le joueur, par exemple sur son age, 
ses habitudes de jeu pour des applications de fidelisa- so 
tion des joueurs, de remise de parties gratuites, etc. 
[0051] Nous allons presenter maintenant des proto- 
cols de controle de transferts d'unites de valeur au 
cours d'operations de jeu effectuees avec (e procede ou 
le systeme selon I'lnvention. 35 
[0052] Au debut des operations de jeu, le transcrip- 
teur de donnees sur carte 210 de la machine de jeu lit 
le numero d'identification en memoire de la carte de jeu 
CJ1 . Comme expose precedemment au vu de la figure 
2, ce numero d'identif ication Id est de preference *o 
authentifie par un module de securite MS1 prevu dans 
le transcripteur T. Le numero Id peut eventuellement 
etre communique^ a l'organe central de gestion 1 en vue 
d'authentif ier la carte CJ1 avec la clef d'identif ication Kt1 
contenue dans le module de securite MSO. Cette etape « 
^identification est de preference effectuee une seule 
fois pour plusieurs operations de jeu avec la meme carte 
sur la meme machine, la machine ou le terminal memo- 
risant eventuellement ce numero d'identif ication Id pour 
les operations suivantes. so 
[0053] A chaque operation de jeu suivante, le solde 
S des unites de valeur affecte au joueur est revu a la 
suite des mises ou des gains realises. 
[0054] Selon un premier mode de realisation de I'in- 
vention, il est prevu de communiquer simplement a Tor- 55 
gane central de gestion 1 des donnees relatives a rope- 
ration de jeu effectuee, notamment le nouveau solde 
d'unites de valeur obtenu au cours de cette operation 



de jeu. L'organe central de gestion 1 peut ainsi stocker 
la liste des operations effectuees, sous forme d'une liste 
des credits ou des debits successifs enregistres sur la 
carte CJ1 . Cette liste des operations Op1 01 , Op1 02, ... , 
Op10x est par exemple enregistree dans la base de 
donnees BD sous le numero ^identification Id1 de la 
carte CJ1 en cours d'utilisation. 
[0055] La recopie du solde S1 ou des operations 

Op1 01 , Op1 02 Op1 Ox dans la base de donnees BD 

de l'organe central de gestion 1 sert alors a etablir un 
releve comptable des operations ou a effectuer des ve- 
rifications fiscales. Un tel historique des operations per- 
met egalement lors cfune verification d'une carte falsi-* 
flee de mesurer I'etendue de la fraude. 
[0056] Selon un deuxieme mode de realisation de ['in- 
vention, il est prevu une etape supplemental consis- 
tant a verifier que les donnees en memoire de la carte 
CJ1 et les donnees de la base de donnees BD corres- 
pondent afin de contrdler I'integrite d'un systeme cons- 
titue par une telle carte CJ1 , une telle machine 200, le 
reseau 123 et l'organe central de gestion 1 . 
[0057] Deux types de verification peuvent etre pre- 
vues, ia verification pouvant porter sur le numero d'iden- 
tification Id ou sur le soide S de la carte. 
[0058] La verification du numero d'identification Id1 
de la carte CJ1 est effectuee avec une cle d'identifica- 
tion Kt1 comme on I'a vu precedemment. Selon ce 
deuxieme mode de realisation, le numero d'identifica- 
tion Id est communique a l'organe central 1 via les 
moyens de liaison 123 du reseau. L'organe central 1 
stocke les cles d'identification Kt1 , Kt2, .... Ktn des car- 
tes CJ1, CJ2, CJn en circulation, dans sa base de 
donnee BD ou de preference dans un module de secu- 
risation MSO. Le module de securisation MSO effectue 
ainsi les calculs d'identification en interne. 
[0059] De plus, la verification peut porter sur le solde 
d'unites de valeur de la carte C J1 . Dans ce cas, le trans- 
cripteur T lit sur la carte les donnees de solde S des 
unites de valeur et les envoie a l'organe central de ges- 
tion 1 par I'intermediaire des moyens de liaison du re- 
seau 123. La verification du solde S de la carte CJ1 est 
alors effectuee par rapport au solde S1 indique dans la 
base de donnees BD sous le numero d'identification Idt . 
Si les deux soldes S et Si correspondent, I'operation de 
jeu est autorisee par I'organe central de gestion 1 . 
[0060] Selon une autre alternative, la verification peut 
porter sur la certification des donnees echangees a par- 
tir de la carte de jeu CJ1 . Des algorithmes standards 
d'encryptage de donnees type algorithme DES permet- 
tent en effet de certifier les donnees numeriques echan- 
gees entre la carte CJ1, le transcripteur T, la machine 
de jeu et l'organe central de gestion 1 . Le cryptage et le 
decryptage du certificat accompagnant les donnees 
transmises n'est possible et coherent que si on utilise 
une cle secrete. 

[0061] Les algorithmes de cryptage de donnes de ty- 
pe DES comportent des series de calculs complexes qui 
ne seront pas detailles dans la presente. 
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[0062] Un exemple de mise en oeuvre d'algorithme 
DES sera expose en considerant s implement que Pal- 
gorithme fournit un nombre crypte, appele clef de ses- 
sion K\ a partir d'un premier nombre donne, appele clef 
d' identification K et d'un nombre aleatoire Rnd, selon 
I'exemple de la formule suivante : 

K' = DES(K, Rnd) 

[0063] La complexite des algorithmes DES rend im- 
possible la decouverte d'une clef d' identification secrete 
K a partir de la clef de session K* etdu nombre aleatoire 
Rnd. 

[0064] La figure 3 montre un exemple ^application 
d'un algorithme DES. It permet d'illustrer des moyens 
de securisation du reseau, en particulier la securisation 
des ^changes de donnees effectuees via les moyens 
de liaison du reseau. La carte de jeu dispose dans une 
zone memoire inaccessible d'au moins une cle d'identi- 
fication secrete Kt. Le microprocesseur de la carte ge- 
nere un nombre pseudo aleatoire Rnd1 . A partir de ces 
deux nombres Rnd1 et Kt, Palgorithme DES mis en 
oeuvre par le microprocesseur calcule une clef de ses- 
sion Kt. 

[0065] Cette clef de session Kt' peut servir de certifi- 
cat d'authentrfication et etre envoyee avec le nombre 
aleatoire Rnd1 et les donnees a certifier. Cependant, 
pour rendre toute decouverte des clefs impossible, il est 
prevu d'appliquer une seconde fois ralgorithme DES. 
Comme visible figure 3, la carte de jeu, organe emetteur 
du message a certifier, demande a I'organe destinataire, 
I'organe central 1 par exemple, de lui fournir un second 
nombre aleatoire Rnd2. 

[0066] L'algorithme DES est a nouveau applique a la 
clef de session Kf et au second nombre aleatoire Rnd2 
par le microprocesseur de la carte pour calculer un cer- 
tif icat C. 

[0067] Le message de donnees est alors envoye a 
Porgane destinataire accompagne du certificat C et du 
nombre aleatoire Rnd1 caicules par ia carte. Ainsi les 
clefs utilisees, en particulier la clef d'identif icat ion secre- 
te Kt, ne sont pas echangees. 
[0068] L'authentification du message de donnees est 
effectue en recalculant un certificat C a partir des meme 
donnees. L'organe central de gestion 1 dispose dans 
son module securise MSO de la clef d'identification se- 
crete Kt. Le module securise MSO. peut done calculer 
la clef de session Kt' a partir de la clef d'identification Kt 
et du nombre aleatoire Rnd1 . 
[0069] Le module securise MSO dispose encore du 
nombre aleatoire Rnd2 qu'il a fourni precedemment a la 
carte de jeu. A partir de ces deux nombres Rnd2 et Kf, 
le module de security MSO calcule a nouveau un certi- 
ficat C en appliquant une seconde fois Palgorithme 
DES. 

[0070] En verifiant que le certificat C calcute par la 
carte correspond au certificat C recalcule par son mo- 



dule de securite, I'organe central peut authentifier le 
message de donnee recu. 

[0071] Notons que la cle de session Kt* et le certificat 
C sont recalcules a chaque certification de message de- 

5 siree. On 6vite ainsi que une machine pirate du reseau 
obtienne I'acces a la base de donnee ou a (a memoire 
de la carte en recopiant une certification precede nte. 
[0072] Apres avoir effectue une ou plusieurs de ces 
verifications, Porgane central 1 envoie un signal d'ac- 

w cord qui peut etre crypte ou encode. Avec un tel signal 
d'accord, le. joueur peut utiliser sa carte de jeu CJ1 , ef- 
fectuer des mtses, des operations de jeu et recharger 
sa carte avec ses gains. 

[0073] Dans ces deux premiers modes de realisation, 
is on a vu que la carte a une fonction d'identification, son 
numero Id permettant a Porgane central 1 ou a la ma- 
chine de jeu de la reconnaitre voire de reconnaitre le 
joueur dans certaines applications de fidelisation de 
clientele. De plus, la carte a une fonction de porte-mon- 
20 naie, le solde d'unites de valeur etant stocke dans la 
carte et connu essentiellement par la carte, la recopie 
de solde dans Porgane central 1 servant aux fins de ve- 
rification. 

[0074] Selon un troisieme mode de realisation, la 
25 fonction porte-monnaie n'est plus assuree par la carte 
mais par I'organe central de gestion lui-meme. La carte 
ne comporte alors aucune donnee relative au solde du 
joueur mais uniquement des donnees d'identification , 
telles que le numero d'identification Id, plusieurs clefs 
30 Kta, Ktb, Ktc d'authentification et eventueljement des in- 
formations sur le joueur. Les donnees de solde S1 des 
unites de valeur sont alors uniquement stockees dans 
la base de donnees BD de I'organe central de gestion 
1 . Ce compte d'unites de valeur se trouve par exemple 
35 dans la base de donnees sous le numero d'identification 
Idt. 

[0075] Lors d'une operation de jeu, le numero d'iden- 
tification Id de la carte CJ1 est envoye a I'organe central 
de gestion 1 via les moyens de liaison 123 du reseau. 

40 Le numero d'identification Id peut etre envoye directe- 
ment par la machine de jeu 200 ou par son transcripteur 
21 0 s'il a ete memorise par la machine ou par son trans- 
cripteur. Le numero d'identification Id peut aussi etre lu 
sur la carte et envoye a Porgane central de gestion 1 par 

45 le transcripteur 210 a chaque operation de jeu. 

[0076] Apres verification du numero d'identification 
Id, I'organe central de gestion 1 consulte la base de don- 
nees BD et envoie a la machine de jeu 200 le solde S1 
des unites de valeur affecte a la carte CJ1 . 

so [0077] De preference letransfert des donnees de sol- 
de d'unites de valeur est effectue avec un certificat selon 
le protocole de securisation des echanges de donnees 
presentd precedemment. 

[0078] Un avantage de ce troisieme mode de realisa- 
55 tion est que les montants mis en jeu sont stockes dans 
I'organe central de gestion 1 , ce qui evite toute memo- 
risation de valeur au niveau des cartes de jeu. 
[0079] Selon ce troisieme mode de realisation, il est 
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done prevu de stocker, dans la base de donnees des 
moyens centralises de gestion, les donnees represen- 
tatives du solde des valeurs debrtees et/ou credrtees 
afin d'eviter une fraude a partir d'une carte a puce. 
[0080] Le controle consiste simplement dans ce troi- 5 
si6me mode de realisation a verifier le numero d'identl- 
fication td de la carte de jeu CJ1 avec une cle d'identi- 
fication Kt1 lue dans la base de donnees BD de I'organe 
central de gestion 1 afin de controler I'integrite de la car- 
te. 10 
[0081] Avec ces trois modes de realisation de rlnven- 
tion on a vu qu'on peut avantageusement contr6ler Tin- 
tegrite des cartes de jeu utilisees sur les machines de 
jeu. 

[0082] De plus, en mettant en oeuvre des moyens de 
securisation des echanges de donnees, ('invention per- 
met avantageusement de verifier I'integrite d'un syste- 
me forme par les cartes de jeu, le reseau de machines 
de jeu et la base de donnees de I'organe central de ges- 
tion, Tintegrite d'un des trois elements du systeme, soit 20 
une carte de jeu, soit le reseau, soit la base de donnees 
etant verifiee a I'aide des deux autres elements. 
[0083] [.'invention prevoit en effet un systeme apte a 
mettre en oeuvre le procede selon r invention. 
[0084] Un tel systeme comporte une plurality de ma- 25 
chines de jeu, chaque machine etant pourvue d'un 
transcripteur apte a debiter des unites de valeur d'une 
carte de jeu, les machines etant reliees en r6seau avec 
un organe central de gestion par rintermediaire de 
moyens de liaison. 30 
[0085] Selon invention, les donnees representatives 
des operations de jeu effectu6es avec une carte a puce 
sur une machine de jeu sont stockees en memoire de 
la carte de jeu et parallelement dans une base de don- 
nees prevue dans I'organe central de gestion. 35 
[0086] Les donnees stockees sont notamment les 
donnees ^identification de la carte et le solde ou les 
soldes successifs d'unites de valeur debitees et/ou cre- 
ditees avec la carte/ 

[0087] Des moyens de controle tels qu'un programme 40 
d'ordinateur effectuant Pauthentification du numero 
d'identification de la carte ou la comparaison des va- 
leurs de solde stockees sur la carte et dans la base ou 
encore la certification des donnees echang6es sont pre- 
vus afin de verifier Tintegrite du systeme. « 
[0088] De preference, pour secu riser les echanges de 
donnees sur le reseau, il est prevu qu'un module de se- 
curisation cafcule un certificat d'authentification a partir 
de donnees secretes stockees en memoire du module 
et en ce que les moyens de controle verif ient que le cer- so 
tificat d'authentification calcule par le module de secu- 
risation correspond au certificat d'authentification calcu- 
le par la carte de jeu ou par un autre module de securi- 
sation. 

[0089] De tels modules de securisation MSO, MS1 55 
peuvent etre disposes dans les cartes du jeu CJ1, 
CJ2, .... CJn, ou au niveau des transcripteurs 10, 110, 
210, 210', 21 0", 21 0'", 310, des machines de jeu 200, 



200', 200", 200"', de I'organe central de gestion 1 ou 
meme sur les moyens de liaison 123 du reseau. 
[0090J On peut en particulier prevoir plusieurs modu- 
les ou des moyens repartis de securisation au sein du 
reseau. Chaque transcripteur 1 0, 21 0, 21 0\ 210°, 21 0"', 
ou chaque interface 1 1 , 1 20, 1 20\ 1 20", 1 20"' comprend 
par exemple un module de securisation de sorte que les 
echanges de donnees sur les moyens de liaison 123 
son accompagnes de certificat d'authentification. Par 
exemple le transcripteur 1 0 emetteur ajoute a son mes- 
sage son certificat qui est authentifie par le transcripteur 
210 destinataire avant d'etre transmis a la machine 200 
correspondante. 

[0091 ] D'autres variantes de realisation, avantages et 
caracteristiques de I'invention, apparaitront a Phomme 
du metier sans sortir du cadre des revendications ci- 
apres. 



Revendications 

1 . Precede securise de controle de transferts d'unites 
de valeur entre une plurality de cartes de jeu (CJ, 
CJ1 , CJ2, CJn) et une plurality de machines de jeu 
(200, 200', 200", 200'", 300, 300', 300"), chaque 
machine (200) etant connectee a un transcripteur 
(21 0) de donn6es sur carte de jeu (CJ2), les machi- 
nes etant reliees en reseau securis6 avec un orga- 
ne central de gestion (1) par I'interm6diaire de 
moyens de liaison (123), le procede comportant des 
etapes consistant, au cours d'une operation de jeu, 
a: 

lire des donnees d'identification (id) et/ou des 
donnees de valeur (S, Op1 , Op1 , Op2, Opx) en 
memoire d'une carte de jeu (CJ1), 

- ech anger des donnees correspondant a I'iden- 
tification et/ou a la valeur de la carte de jeu en- 
tre la machine (200) et une base de donnees 
(BD) de I'organe central de gestion (1) par I'in- 
termediaire des moyens de liaison (123) du re- 
seau, et 

- verifier que les donnees en memoire de la carte 
de jeu (CJ1) correspondent aux donnees de la 
base de donnees (BD), 

le procede etant caracterise en ce qu'un echange 
de donnees est accompagne d'un certificat 
d'authentification (C) calcuie a partir de donnees 
secretes (Kt ( Kf) d'authentification et/ou d'identifi- 
cation, et en ce que les donnees echangees sont 
authentifiees en v6rifiant chaque certificat d'authen- 
tification. 

2. Procede selon ia revendication 1 , caracterise par 
une etape preiiminaire aux operations de jeu, con- 
sistant a : 
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- inscrire, dans la base de donnees (BD) de I'or- 
gane central de gestion (1) et dans la memoire 
d'une carte de jeu (C J1 ), des donnees repre- 
sentatives d'un solde (S, S1) initial d'unites de 
vaieur lors d'une operation preliminaire de 
chargement de la carte. 

3. Procede selon Tune des revendications preceden- 
tes, caracterise par une etape consistant, au cours 
d'une operation de jeu, a : 

inscrire, dans la base de donnees (BD) de I'or- 
gane central de gestion (1 ), des donnees repre- 
sentatives du solde (S1) des unites de vaieur 
de la carte de jeu (CJ1). 

4. Procede selon Tune des revendications preceden- 
tes, caracterisd par une etape consistant, au cours 
d'une operation de jeu, a : 

recevoir les donnees representatives du solde 
(S1) des unites de vaieur a partir de I'organe 
central de gestion (1) afin d'eviter une fraude a 
partir d'une carte (CJ2) ou d'une machine de 
jeu (200). 

5. Proced6 selon I'une des revendications preceden- 
tes, caracterise en ce que I'etape de verification 
consiste a : 

verifier les donnees representatives de solde 
(S) des unites de vaieur lues en memoire de la 
carte de jeu (CJ1) par rapport aux donnees (S1 ) 
lues dans la base de donnees (BD) afin de con- 
troler I'integrite de ia carte de jeu (CJ1). 

6. Procede selon I'une des revendications preceden- 
tes, caracterise en ce que I'etape de verification 
consiste a : 

verifier le numero d'identif ication (Id) de la carte 
de jeu (CJ1) avec une cle d' identification (Kt1) 
lue dans la base de donnees (BD) de i'organe 
central de gestion (1 ) afin de controler I'integrite 
de la carte de jeu (CJ1). 

7. Procede selon I'une des revendications preceden- 
tes, caracterise en ce que le reseau comporte en 
outre des moyens de securisation (MSO), le proce- 
de comportant une etape supplemental consis- 
tant a : 

prevoir que les moyens de securisation (MSO) 
du reseau calculent un certificat d'authentifica- 
tion (C) a partir de donnees secretes (Kt, Kt') 
en memoire des moyens de securisation. 

8. Procede selon la revendication 7, caracterise par 



une etape supplemental consistant a : 

- lire un certificat d'authentif ication (C) calcule 
par la carte de jeu (CJ1) a partir de donnees 

5 secretes (Kt, Kt1) en memoire de la carte. 

9. Procede selon la revendication 8, caracterise en 
ce que I'etape de verification consiste a : 

10 - verifier que le certificat d'authentification (C) 
calculi par la carte de jeu (CJ1) correspond au 
certificat d'authentification (C) calcule par les 
moyens de securisation (MSO) du reseau. 

'5 10. Procede selon I'une des revendications preceden- 
tes, caracterise en ce que le reseau comporte en 
outre des moyens de securisation repartis (MSO, 
MS1), le procede comportant des etapes supple- 
mentaires consistant a : 

20 

• prevoir que des premiers moyens de securisa- 
tion (MSO) du reseau calculent un premier cer- 
tificat d'authentification (C) a partir de donnees 
secretes (Kt, Kt') en memoire des premiers 
25 moyens de securisation (MSO), et 

- prevoir que des seconds moyens de securisa- 
tion (MS1) du reseau calculent un second cer- 
tificat d'authentification a partir de donnees se- 
cretes en memoire des seconds moyens de se- 

30 curisation (MS1), et 

- verifier que le premier certificat d'authentifica- 
tion (C) calcule par les premiers moyens de se- 
curisation (MSO) du reseau correspond au se- 
cond certificat d'authentification calcule par les 

35 seconds moyens de securisation (MS1) du re- 

seau. 

11. Procede selon I'une des revendications 7 a 1 0, ca- 
racterise en ce que les donnees (Id, S) echangees 

40 entre la machine (200) et la base de donnees (BD) 
de I'organe central de gestion (1) sont accorhpa- 
gnees d'un certificat d'authentification (C, C). 

12. Procede selon I'une des revendications preceden- 
ts tes, caracterise en ce que des moyens de securi- 
sation (MS1 ) sont associes au transcripteur (T, 1 0, 
1 1 0, 21 0) de donnees sur carte de jeu (CJ1 ) afin de 
controler I'integrite d'une telle carte. 

50 13. Procede selon I'une des revendications preceden- 
tes, caracterise en ce que des moyens de securi- 
sation (MS1) sont associes a une machine de jeu 
(T, 200, 300). 

55 14. Procede selon I'une des revendications preceden- 
tes, caracterise en ce que des moyens de securi- 
sation sont associes aux moyens de liaison du re- 
seau. 
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15: Procede selon I'une des revendications prec6den- 
tes, caracterlse en ce que des moyens de securi- 
sation (MSO) sont associes a I'organe centra) de 
gestion (1) afin de controler I'integrite du reseau. 

16. Systeme securise de controle de transferts d'unites 
de valeur entre une pluralite de cartes de jeu (CJ) 
et une pluralite de machines de jeu (200, 300), cha- 
que machine etant pourvue d'un transcripteur (21 0, 
310) apte a debiter des unites de valeur d'une carte 

• de jeu (CJ), ies machines etant reliees en reseau 
securise avec un organe central de gestion (1) par 
I'intermediaire de moyens de liaison (123), une car- 
te de jeu (CJ1) stockant en memo ire des donnees 
^identification (Id) et/ou des donnees de valeur (S, 
Op1, Op2, Opx), I'organe central de gestion (1) 
comportant une base de donnees (BD) stockant pa- 
rallelement en memoire Ies donnees ^identification 
(Id1 , Id2, Idn) et/ou Ies donnees de valeur (S1 , S2, 
Sn) des cartes (CJ1 , CJ2, CJn), le systeme com- 
portant des moyens de controle (BD) aptes a veri- 
fier que, pour une carte identified, Ies donnees de 
la base (BD) et Ies donnees de la carte (CJ1) cor- 
respondent, 

caracterise en ce que te systeme comporte des 
moyens d'authentification de donnees aptes a cal- 
culer un certificat d'authentification, a partir de don- 
nees secretes stockees en memoire. 

17. Systeme securise selon la revendication 1 6, carac- 
terlse en ce que la carte de jeu (CJ1) calcule un 
certificat d'authentification (C) a partir de donnees 
secretes (Kt, Kt) stockees en memoire de la carte 
(CJ1). 

18. Systeme securise selon la revendication 16 ou la 
revendication 1 7, caracterlse en ce qu'il comporte 
en outre au moins un module de securisation (MSO, 
MS1), le module de securisation calculant un certi- 
ficat d'authentification (C) a partir de donnees se- 
cretes (Kt, Kt') stockees en memoire du module 
(MSO) et en ce que Ies moyens de controle (MSO) 
verifient que le certificat d'authentification (C) cal- 
cule par le module de securisation correspond au 
certificat d'authentification (C) calcule par la carte 
de jeu ou par un autre module de securisation 
(MS1). 

19. Systeme securis6 selon la revendication 18, carac- 
terlse en ce qu'un module de securisation (MS1) 
est dispose dans le transcripteur (T, 10, 210, 310). 

20. Systeme securise selon I'une des revendications 1 8 
et 19, caracterise en ce qu'un module de s6curi- 
sation (MSO) est dispose dans une machine de jeu 
(200). 

21 . Systeme securis6 selon Tune des revendications 1 8 



a 20, caracterlse en ce qu'un module de securisa- 
tion est dispose sur Ies moyens de liaison du re- 
seau. 

5 22. Systeme securise selon I'une des revendications 1 8 
a 21 , caracterise en ce qu'un module de securisa- 
tion (MSO) est dispose dans I'organe central de ges- 
tion (1). 

10 23. Systeme securis6 selon I'une des revendications 1 6 
a 22, caracterise en ce qu'une carte de jeu est une 
carte a puce. 

24. Syst6me securis6 selon I'une des revendications 1 6 
is a 23, caracterlse en ce qu'une carte de jeu est une 

carte sans contact. 

25. Systeme securisd selon I'une des revendications 1 6 
a 24, caracterise en ce qu'une carte de jeu est une 

20 carte bancaire. 



PatentansprOche 

25 1. GesichertesTransferprufverfahrenvon Werteinhei- 
ten zwischen einer Vielzahl von Spielkarten (CJ, 
CJ1 , CJ2, CJn) und einer Vielzahl von Spielmaschi- 
nen (200, 200', 200", 200 ,n , 300, 300', 300"), wobei 
jede Maschine (200) an eine Ubertragungsvorrich- 

30 tung (210) von Daten auf die Spielkarten (CJ2) an- 
geschlossen ist, wobei die Maschinen uber Verbin- 
dungsmittel (123) gesichert mit einem zentralen 
Verwaltungsorgan (1) vernetzt sind, wobei das Ver- 
fahren Etappen umfasst, die wahrend einer Spiel- 

35 operation darin bestehen: 

- Identifikationsdaten (Id) und/oder Wertdaten 
(S, Op1 , Op1 , Op2, Opx) zu lesen, die in einer 
Spielkarte (CJ1) gespeichert sind, 

40 . der Identifikation und/oder dem Wert der Spiel^ 
karte entsprechende Daten zwischen der Ma- 
schine (200) und einer Datenbasis (BD) des 
zentralen Verwaltungsorgans (1) uber Verbin- 
dungsmittel (123) des Netzes auszutauschen, 
45 und 

- zu uberprufen, dass die in der Spielkarte (CJ1 ) 
gespeicherten Daten den Daten der Datenba- 
sis (BD) entsprechen, 

50 dadurch gekennzeichnet, dass ein Daten- 

austausch von einen aus geheimen Authentifizie- 
rungs- und/oder Identifikationsdaten (Kt, Kt') er- 
rechneten Authentifizierungszertifikat (C) begleitet 
wird, und dass die ausgetauschten Daten durch die 
55 Prufung eines jeden Authentifizierungszertifikats 
authentifiziert werden. 

2. Verfahren nach Anspruch 1 , gekennzeichnet durch 
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eine den Spieloperationen vorausgehenden Etap- 
pe, die darin besteht: 

in die Datenbasis (BD) des zentralen Verwal- 
tungsorgans (1) und in den Speicher einer 
Spieikarte (CJ 1 ) Oaten einzutragen, die bei ei- 
ner dem Laden der Karte vorausgehenden 
Operation einen ursprunglichen Saldo (S, S1) 
von Werteinheiten darstellen. 

3. Verfahren nach einem der vorgenannten Anspru- 
che, gekennzeichnet durch eine Etappe, die darin 
besteht, wahrend einer Spieloperation: 

in die Datenbasis (BD) des zentralen Verwal- 
tungsorgans (1) Daten einzutragen, die den 
Saldo (S1) der Werteinheiten der Spieikarte 
(CJ1) darstellen. 

4. Verfahren nach einem der vorgenannten Ansprii- 
che, gekennzeichnet durch eine Etappe, die darin 
besteht, wahrend einer Spieloperation: 

die den Saldo (St) der Werteinheiten darstel- 
lende Daten von einem zentralen Verwattungs- 
organ (1 ) zu empfangen, urn einen Missbrauch 
ab einer Karte (CJ2) oder einer Spielmaschine 
(200) zu verhindern. 

5. Verfahren nach einem der vorgenannten Ansprti- 
che, dadurch gekennzeichnet, dass die Prufetap- 
pe darin besteht: 

- die den Saldo (S) der aus dem Speicher der 
Spieikarte (CJ1) ausgelesenen Werteinheiten 
darstellenden Daten in Bezug auf die aus der 
Datenbasis (BD) ausgelesenen Daten (S1) zu 
prufen, urn die Unversehrtheit der Spieikarte 
(CJ1) zu kontrollieren. 

6. Verfahren nach einem der vorgenannten Ansp ru- 
che, dadurch gekennzeichnet, dass die Prufetap- 
pe darin besteht: 

die Identifikationsnummer (Id) der Spieikarte 
(CJ1) mit einem aus der Datenbasis (BD) des 
zentralen Verwaftungsorgans (1) ausgelese- 
nen Identifikationsschlussel (Kt1) zu prufen, 
urn die Unversehrtheit der Spieikarte (CJ1) zu 
prufen. 

7. Verfahren nach einem der vorgenannten Anspru- 
che, dadurch gekennzeichnet, dass das Netz im 
ubrigen Sicherungsmittel (MSO) aufweist, wobei 
das Verfahren eine zusatzliche Etappe umfasst, die 
darin besteht: 

vorzusehen, dass die Sicherungsmittel (MSO) 



des Netzes aus den im Speicher der Siche- 
rungsmittel enthaltenen geheimen Oaten (Kt, 
Kt*) ein Authentif izierungszertifikat (C) errech- 
nen. 

5 

8. Verfahren nach Anspruch 7, gekennzeichnet durch 
eine zusatzliche Etappe, die darin besteht: 

- ein von der Spieikarte (CJ1) aus in der Karte 
10 gespeicherten geheimen Daten (Kt, Kt1) er- 

rechnetes Authentifizierungszertifikat (C) zu le- 
sen. 

9. Verfahren nach Anspruch 8, dadurch gekenn- 
'5 zeichnet, dass die Prufetappe darin besteht: 

- zu prufen, dass das von der Spieikarte (CJ1) 
errechnete Authentifizierungszertifikat (C) dem 
von den Sicherungsmitteln (MSO) des Netzes 

20 errechneten Authentifizierungszertifikat (C) 

entspricht. 

10. Verfahren nach einem der vorgenannten Anspru- 
che, dadurch gekennzeichnet, dass das Netz im 

25 ubrigen verteilte Sicherungsmittel (MSO, MS1 ) auf- 
weist, wobei das Verfahren zusatzliche Etappen 
umfasst, die darin bestehen: 

- vorzusehen, dass die ersten Sicherungsmittel 
30 (MSO) des Netzes aus den in den ersten Siche- 
rungsmitteln (MSO) gespeicherten geheimen 
Daten (Kt, Kf ) ein erstes Authentifizierungszer- 
tifikat (C*) errechnen, und 

- vorzusehen, dass die zweiten Sicherungsmittel 
35 (MS1) des Netzes aus den in den zweiten Si- 
cherungsmitteln (MS1) gespeicherten gehei- 
men Daten ein zweites Authentifizierungszerti- 
fikat errechnen, und 

zu prufen, dass das von den ersten Siche- 
40 rungsmitteln (MSO) des Netzes errechnete er- 

ste Authentifizierungszertifikat (C) dem von 
den zweiten Sicherungsmitteln (MS1) des Net- 
zes errechneten zweiten Authentifizierungs- 
zertifikat entspricht. 

45 

11. Verfahren nach einem der Anspruche 7 bis 10, da- 
durch gekennzeichnet, dass die zwischen derMa- 
schine (200) und der Datenbasis (BD) des zentra- 
len Verwaltungsorgans (1) ausgetauschten Daten 

50 (id, S) von einem Authentifizierungszertifikat (C, C) 
begleitet werden. 

12. Verfahren nach einem der vorgenannten Anspru- 
che, dadurch gekennzeichnet, dass die Siche- 

55 rungsmittel (MS1) der Ubertragungsvorrichtung (T, 
1 0, 1 1 0, 21 0) der Daten auf die Spieikarte (CJ 1 ) zu- 
geordne! ist, urn die Unversehrtheit einer derartigen 
Karte zu prufen. 
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13. Verfahren nach einem der vorgenannten Anspru- 
che, dadurch gekennzeichnet, dass die Siche- 
rungsmittel (MS1) einer Spielrnaschine (T, 200, 
300) zugeordnet sind. 

14. Verfahren nach einem der vorgenannten Anspru- 
che, dadurch gekennzeichnet, dass die Siche- 
rungsmittel Verbindungsmitteln des Netzes zuge- 
ordnet sind. 

15. Verfahren nach einem der vorgenannten Anspru- 
che, dadurch gekennzeichnet, dass die Siche- 
rungsmittel (MS0) dem zentralen Verwaltungsor- 
gan (1 ) zugeordnet sind, urn die Unversehrtheit des 
Netzes zu prufen. 

16. Gesichertes Transferprufsystem von Werteinheiten 
. zwischen einer Vielzahl von Spielkarten (CJ) und 

einer Vielzahl von Spielmaschinen (200, 300), wo- 
bei jede Maschine uber eine Ubertragungsvorrich- 
tung (210, 31 0) verfugt, die Werteinheiten von einer 
Spielkarte (CJ) abziehen kann, wobei die Maschi- 
nen gesichert uber Verbindungsmittel (123) mit ei- 
nem zentralen Verwaltungsorgan (1) vemetzt sind, 
wobei in einer Spielkarte (CJ1) Identifikationsdaten 
(Id) und/oder Wertdaten (S, Op1 , Op2, Opx) gespei- 
chert sind, wobei das zentrale Verwaltungsorgan 
(1) eine Datenbasis (BD) umfasst, in dergleichzei- 
tig die Identifikationsdaten (Id1, Id2, Idn) und/oder 
die Wertdaten (S1, S2, Sn) der Karten (CJ1, CJ2, 
CJn) gespeichert sind, wobei das System Prufmittel 
. (BD) umfasst, die in der Lage sind, fiir eine identi- 
fizierte Karte zu prufen, dass die Daten der Basis 
(BD) und die Daten der Karte (CJ1) ubereinstim- 
men, dadurch gekennzeichnet, dass das System 
Datenauthentifizierungsmittel umfasst, die aus ge- 
speicherten geheimen Daten ein Authentifizie- 
rungszertifikat errechnen konnen. 

17. Gesichertes System nach Anspruch 16, dadurch 
gekennzeichnet, dass die Spielkarte (CJ1) aus in 
der Karte (CJ1) gespeicherten geheimen Daten (Kt, 
Kt 1 ) ein Authentifizierungszertifikat (C) errechnet. 

1 8. Gesichertes System nach Anspruch 1 6 Oder 1 7, da- 
durch gekennzeichnet, dass es im ubrigen minde- 
stens ein Sicherungsmodul (MSO, MS1) umfasst, 
wobei das Sicherungsmodul aus im Modul (MSO) 
gespeicherten geheimen Daten (Kt, Kt') ein Authen- 
tifizierungszertifikat (C) errechnet, und dass die 
Prufmittel (MSO) kontrollieren, dass das vom Siche- 
rungsmodul errechnete Authentifizierungszertifikat 
(C) dem von der Spielkarte oder von einem ande- 
ren Sicherungsmodul (MS1) errechneten Authenti- 
fizierungszertifikat (C) entspricht. 

19. Gesichertes System nach Anspruch 18, dadurch 
gekennzeichnet, dass ein Sicherungsmodul 



(MS1) in der Obertragungsvorrichtung (T, 10, 210, 
310) angeordnet ist. 

20. Gesichertes System nach einem der Anspruche 18 
5 und 1 9, dadurch gekennzeichnet, dass ein Siche- 
rungsmodul (MSO) in einer Spielrnaschine (200) an- 
geordnet ist. 

21. Gesichertes System nach einem der Anspruche 18 
10 bis 20, dadurch gekennzeichnet, dass ein Siche- 
rungsmodul auf den Verbindungsmitteln des Net- 
zes angeordnet ist. 

22. Gesichertes System nach einem der Anspruche 18 
is bis 21 , dadurch gekennzeichnet, dass ein Siche- 
rungsmodul (MSO) im zentralen Verwaltungsorgan 
(1) angeordnet ist. 

23. Gesichertes System nach einem der Anspruche 16 
20 bis 22, dadurch gekennzeichnet, dass eine Spiel- 
karte eine Chipkarte ist. 

24. Gesichertes System nach einem der Anspruche 16 
bis 23, dadurch gekennzeichnet, dass eine Spiel- 

25 karte eine kontaktlose Karte ist. 

25. Gesichertes System nach einem der Anspruche 16 
bis 24, dadurch gekennzeichnet, dass eine Spiel- 
karte eine Bankkarte ist. 



Claims 

1 . A secure method of controlling transfers of units of 
35 value between a plurality of gaming cards (CJ, CJ1 , 
CJ2, CJn) and a plurality of gaming machines (200, 
200', 200", 200 m , 300, 300', 300"), each machine 
(200) being connected to a transcriber (210) for 
transcribing data onto a gaming card (C J2), the ma- 
40 chines being connected in a secure network with a 
central management device (1) by means of con- 
nection means (123), the method containing steps 
consisting, during a gaming operation, in: 

45 . reading identification data (Id) and/or value da- 
ta (S, Op1 , Op1 , Op2, Opx) in the memory of a 
gaming card (CJ1) , 

exchanging data corresponding to the identifi- 
cation and/or to the value of the gaming card 
50 between the machine (200) and a database 

(BD) of the central management device (1) by 
means of the connection means (123) of the 
network, and 

verifying that the data in the memory of the 
55 gamingcard (CJ1) correspond to the data in the 

database (BD), 

the method being characterised in that an 
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exchange of data is accompanied by an authenti- 
cation certificate (C) calculated from secret authen- 
tication and/or identification data (Kt, Kt 1 ), and in 
that the exchanged data are authenticated by veri- 
fying each authentication certificate. 5 

2. Method according to Claim 1 , characterised by a 
step preliminary to the gaming operations, consist- 
ing in: 

10 

- entering, in the database (BD) of the central 
management device (1) and in the memory of 
a gaming card (CJ1), data representing an ini- 
tial balance (S, S1) of units of value during a 
preliminary operation of loading the card. *s 

3. A method according to one of the preceding claims, 
characterised by a step consisting, during a gaming 
operation, in: 

20 

- entering, in the database (BD) of the central 
management device (1), data representing the 
balance (S1) of the units of value of the gaming 
card(CJ1). 

25 

4. A method accorcfing to one of the preceding claims, 
characterised by a step consisting, du ring a gaming 
operation, in: 

receiving the data representing the balance 30 
(S1) of the units of value from the central man- 
agement device (1) in order to prevent fraud 
from a card (CJ2) or a gaming machine (200). 

5. A method according to one of the preceding claims, 35 
characterised in that the verification step consists 

in: 

- verifying the data representing a balance (S) of 

the units of value read in the memory of the *o 
gaming card (CJ1 ) compared with the data (S1 ) 
read in the database (BD) in order to check the 
integrity of the gaming card (CJ1 ). 

6. A method according to one of the preceding claims, 45 
characterised in that the verification step consists 

in: 

- verifying the identification number (Id) of the 

. gaming card (CJ1) with an identification key 50 
(Kt1) read in the database (BD) of the central 
management device (1 ) in order to check the 
integrity of the gaming card (CJ1). 



- making provision for the protection means 
(MSO) of the network to calculate an authenti- 
cation certificate (C) from secret data (Kt, Kt 1 ) 
in the memory of the protection means. 

8. A method according to Claim 7, characterised by a 
supplementary step consisting in: 

reading an authentication certificate (C) calcu- 
lated by the gaming card (CJ1 ) from secret data 
(Kt, Kt1) in the card memory. 

9. A method according to Claim 8, characterised in 

that the verification step consists in: 

- checking that the authentication certificate (C) 
calculated by the gaming card (CJ1) corre- 
sponds to the authentication certificate (C 1 ) cal- 
culated by the protection means (MSO) of the 
network. 

10. A method according to one of the preceding claims, 
characterised in that the network also has distrib- 
uted protection means (MSO, MS1), the method in- 
cluding supplementary steps consisting in: 

- making provision for first protection means 
(MSO) of the network to calculate a first authen- 
tication certificate (C) from secret data (Kt, Kt') 
in the memory of the first protection means 
(MSO), and 

- making provision for the second protection 
means (MS1 ) of the network to calculate a sec- 
ond authentication certificate from secret data 
in the memory of the second protection means 
(MS1), and 

- checking that the first authentication certificate 
(C) calculated by the first protection means 
(MSO) of the network corresponds to the sec- 
ond authentication certificate calculated by the 
second protection means (MS 1 ) of the network. 

1 1 . A method according to one of Claims 7 to 1 0, char- 
acterised in that the data (Id, S) exchanged be- 
tween the machine (200) and the database (BD) of 
the central management device (1) are accompa- 
nied by an authentication certificate (C, C). 

12. A method according to one of the preceding claims, 
characterised in that protection means (MS1) are 
associated with the transcriber (T, 10, 110, 210) for 
transcribing data onto a gaming card (CJ1) in order 
to check the integrity of such a card. 



7. A method according to one of the preceding claims, 55 
characterised in that the network also has protec- 
tion means (MSO), the method including a supple- 
mentary step consisting in: 



1 3. A method according to one of the preceding claims, 
characterised in that protection means (MS1) are 
associated with a gaming machine (T, 200, 300). 
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14. A method according to one of the preceding claims, 
characterised In that protection means are asso- 
ciated with the network connection means. 

1 5. A method according to one of the preceding claims, 5 
characterised In that protection means (MSO) are 
associated with the central management device (1) 
in order to check the integrity of the network. 

16. A secure system for controlling transfers of units of 
value between a plurality of gaming cards (CJ) and 
a plurality of gaming machines (200, 300), each ma- 
chine being provided with a transcriber (210, 310) 
able to debit units of value from a gaming card (CJ), 
the machines being connected in a secure network 
with a central management device (1) by means of 
connection means (123), a gaming card (CJ1 ) stor- 
ing in memory identification data (Id) and/or value 
data (S, Op1, Op2, Opx), the central management 
device (1 ) having a database (BD) storing in parallel 
in memory the identification data (Id1 , Id2, Idn) and/ 
or the value data (S1, S2, Sn) of the cards (CJ1, 
CJ2, CJn), the system having check means (BD) 
able to check that, for an identified card, the data in 
the base (BD) and the data in the card (CJ1) corre- 
spond, 

characterised in that the system includes 
data authentication means able to calculate an au- 
thentication certificate, from secret data stored in 
memory. 



22. A secure system according to one of Claims 18 to 

21, characterised in that a protection module 
(MSO) is disposed in the central management de- 
vice (1). 

23. A secure system according to one of Claims 16 to 

22, characterised in that a gaming card is a smart 
card. 

24. A secure system according to one of Claims 16 to 

23, characterised In that a gaming card is a con- 
tactless card. 

25. A secure system according to one of Claims 16 to 

24, characterised in that a gaming card is a bank 
card. 
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17. A secure system according to Claim 1 6, character- 
ised In that the gaming card (CJ1) calculates an 
authentication certificate (C) from secret data (Kt, 
Kt') stored in memory in the card (CJ1). 35 



1 8. A secure system according to Claim 1 6 or Claim 1 7, 
characterised in that it also has a protection mod- 
ule (MSO, MS1), the protection module calculating 
an authentication certificate (C) from secret data to 
(Kt, Kt') stored in the memory of the module (MSO) 
and in that the check means (MSO) check that the 
authentication certificate (C) calculated by the pro- 
tection module corresponds to the authentication 
certificate (C) calculated by the gaming card or by *5 
another protection module (MS1). 



19. A secure system according to Claim 18, character- 
ised in that a protection module (MS1 ) is disposed 
in the transcriber (T, 10, 210, 310). 50 



20. A secure system according to one of Claims 1 8 and 

19, characterised in that a protection module 
(MSO) is disposed in a gaming machine (200). 

21. A secure system according to one of Claims 18 to 

20, characterised in that a protection module is 
disposed on the network connection means. 
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